快捷搜索:

关于SQL注入防御函数

刚刚在最爱白菜那里看到了一个SQL注入防御的函数,忽然想起曩昔看到这些文章时的不停有个问题想不通的,我对付SQL注入的防御很简单,就以下两个函数:

'####

'##

'## SQL注入进击预防装配[字符型]

'##

'## @ data->处置惩罚的数据

'## @ length ->长度限定

'##

'## 例: strSql("SQL字符型数据",50)

'##

function strSql(data,length)

'########################################################################

if length数字

'##

'## 例: intSql(50)

'##

'## 2004/03/04,改善版,缘故原由:IsNumeric检测MSSQL数据类型时会误判。

'##

function intSql(Numeric)

'########################################################################

dim MM_intTemp

On Error Resume Next

if Numeric="" then Numeric=0

MM_intTemp=csng(Numeric)

if err=0 then

intSql=Numeric

else

intSql=0

end if

end function

strSQL的length不在防御SQL注入的范围中,是我为了防止插入字符跨越字段长度而掉足作的一个小小的防御。

我在网上看到种种各样的SQL注入防御函数,以是很好奇,这样的函数不能防御注入吗?谁知道这两个函数的破绽请奉告我。

您可能还会对下面的文章感兴趣: